Britanya ve NATO’nun dijital tedarik zincirini güvenceye almak

Başbakan Starmer, seçimlerden sadece bir hafta sonra, Temmuz ayında Washington D.C’de yapılan NATO Zirve toplantısına ilk kez katıldı. Bu toplantıda Başbakan Starmer Birleşik Krallık’ın İttifaka olan “sarsılmaz taahhüdünü” vurguladı ve Birleşik Krallık’ın bir Stratejik Savunma İncelemesi yapacağını ve savunma harcamasını GSYH’nin % 2.5’ine yükselteceğini açıkladı. Starmer hükümeti, yine Temmuz ayında yeni bir Siber Güvenlik ve Dayanıklılık Kanun Tasarısı ile ilgili planını sundu. Buu yasa tasarısı AB’nin yeni Ağ ve Bilgi Sistemleri Yönetmeliği 2’nin (NIS2) Birleşik Krallık’taki muadili olarak kabul edilmektedir ve 18 Ekim 2024’ten itibaren yürürlüğe girecektir.

Starmer’in İngiltere’nin yeni Başbakanı olarak seçilmesi ve NATO Zirvesi, jeopolitik gerginliklerin hızla tırmandığı, özellikle Rusya ve Çin'in Batı ile ekonomik ve bölgesel vekâlet çatışmalarının ötesine geçerek siber saldırılar yoluyla NATO Müttefiklerini doğrudan hedef aldığı bir döneme rastladı. Bu saldırılar artık siber espiyonaj kampanyaları olmaktan çıkmış, giderek doğrudan ekonomilerimizi altüst etmeyi ve zarara uğratmayı amaçlayan, veya kritik ulusal altyapımıza ve hatta ulusal güvenlik kurumlarımıza sızmayı ve daha sonra uykuda bekleyerek gerilimin tırmanması durumunda tetiklenmeyi bekleyen gizli operasyonlar olarak tasarlanıyorlar.

Bu yılın başlarında, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu’nun (FBI) müştereken uyardığı gibi, Çin Halk Cumhuriyeti'nin “devlet destekli siber aktörleri, ABD ile büyük bir kriz veya çatışma durumunda ABD'nin kritik altyapısına yönelik yıkıcı siber saldırılar yapabilmek için kendilerini önceden Bilişim Teknolojileri (BT) ağlarında konumlandırmaya çalışıyorlar.” Bu uyarının ardından Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) de tehdit yaratan devlet destekli tehdit aktörlerinin Birleşik Krallık Kritik Ulusal Altyapısına yönelik siber saldırılarının oluşturduğu tehdidin arttığını vurgulayan bir tehdit uyarısı yayınladı.

Medyanın dikkati devlet destekli dezenformasyon kampanyaları ve demokratik kurumlarımızın hedef alınması konusu üzerinde toplanmışken, hükümetlerimiz ve kritik ulusal altyapı operatörlerinin tüm dış tedarikçiler, ortaklar ve hizmet sağlayıcılardan oluşan dijital tedarik zincirlerine yöneltilen saldırılar pek göze çarpmayan ama son derece ciddi bir tehdit oluşturuyorlar.

Avrupa Birliği Siber Güvenlik Ajansı(ENISA) 2030 yılında 'Yazılım Tedarik Zinciri İhlali' kurumların karşı karşıya olduğu en önemli siber tehdit haline gelirken, [Kimlik Hırsızlığı Kaynak Merkezi] (https://www.idtheftcenter.org/publication/2023-data-breach-report/) 2023 Yıllık Veri İhlali Raporu'nda tedarik zinciri saldırılarından etkilenen kurumların sayısının sadece son beş yılda 2600 yüzde puanından fazla arttığını bildirdi.

Tedarik zincirine yapılacak potansiyel saldırıların etkileri son derece büyük olur ve aşağıdaki örneklerden görülebileceği gibi ekonominin tüm sektörlerini tehdit edebilir, yeni bir finansal kriz yaratabilir, hatta ulusal güvenliği zayıflatabilir.

Kısa zaman önce ortaya çıkan haberlere göre, Çin devlet otoriteleriyle bağlantılı olduklarından şüphe edilen bilgisayar korsanlarının BK Savunma Bakanlığına bordro servisi veren guruba sızarak potansiyel olarak 270,000 mevcut ve eski BK savunma kuvvetleri mensubunun isimlerini, banka hesapları ile ilgili bilgileri ve adreslerini ifşa etmiş. Bu arada, Haziran ayında, Hollanda Ulusal Siber Güvenlik Merkezi açıklamasında Çin ile bağlantılı bilgisayar korsanlarının “2022 ve 2023 yıllarında birkaç ay dünya çapında en az 20,000 FortiGate sistemine erişim sağladığını” ve hedefler arasında “düzinelerce (Batılı) hükümetler, uluslararası örgütler ve savunma sanayindeki çok sayıda şirketin” bulunduğunu bildirdi. Ve kısa süre önce de Birleşik Krallık Ulusal Güvenlik Merkezi ve Beş Göz İstihbarat İttifakı başka bir tehdit uyarısı yayınladı. Bu uyarı Çin hükümeti ile bağlantılı bir şirket tarafından yönetilen ve Çinli tehdit aktörü Flax Typhoon tarafından “başta İletişim, Enerji, Ulaşım Sistemleri ve Su ve Atık Su Sistemleri Sektörleri olmak üzere” kritik altyapıya müdahale etmek için kullanılan dünya çapında 260.000 ele geçirilmiş cihazdan oluşan bir botnet hakkındaydı.

Ancak bunlar son zamanlarda rastlanan örneklerden sadece birkaçıdır. Birçok önde gelen uzman tarafından bugüne kadar yaşanmış en büyük siber saldırı olarak nitelendirilen 2020’deki [SolarWinds kampanyası] (https://www.npr.org/2021/04/16/985439655/a-worst-nightmare-cyberattack-the-untold-story-of-the-solarwinds-hack) bu örneklerden biridir. SolarWinds, dünya çapında binlerce devlet ve özel sektör müşterileri tarafından kullanılan Orion BT yönetim ve izleme yazılımının tedarikçisidir. Böyle bir aracın, doğası gereği, kullanıcı kuruluşların sistemlerine ve operasyonel süreçlerine derinlemesine entegre edilmesi gerekir ve dolayısıyla sistem günlüğü ve performans verileri de dahil olmak üzere son derece hassas bilgilere erişim sağlar. Rus dış istihbarat servisi SVR ile bağlantılı olduğu düşünülen bilgisayar korsanları, bir Orion yazılım güncellemesine kötü amaçlı kod yerleştirmeyi başardılar. Kullanıcılar sistemlerini güncellerken farkında olmadan bu kötü amaçlı kodu kendi BT ortamlarına yüklediler ve saldırganların SolarWind müşterilerinin sistemlerine ve verilerine doğrudan erişebilecekleri “ileri hamle” olarak bilinen bir arka kapı oluşturdular.

Bu saldırını etkileri çok geniş kapsamlı oldu. Tahminen 18,000 SolarWind kullanıcısının [bu güvenliği ihlal edilmiş yazılım güncellemesini yüklediği] (https://www.zdnet.com/article/sec-filings-solarwinds-says-18000-customers-are-impacted-by-recent-hack/) ve bunun İç Güvenlik, Dışişleri Bakanlığı ve Hazine gibi ABD federal ajanslarının yanı sıra Microsoft, Intel, ve CISCO gibi teknoloji devleri de dâhil, çok geniş bir kitleyi etkilediği söyleniyor.

İkmal zincirlerine yapılan saldırılardaki artışın iki temel nedeni var. Bunlardan birincisi, devam etmekte olan dijitalleşme çalışmaları sürecinde genellikle kritik iş fonksiyonlarının giderek daha fazla üçüncü partilere verilmesidir. İkinci neden ise bireysel kuruluşların, özellikle de kritik ulusal altyapıda ve genel olarak yüksek düzeyde düzenlemeye tabi sektörlerde faaliyet gösterenlerin, ve ulusal güvenlik kuruluşlarının siber güvenlik savunmalarının bir hayli güçlü olmasıdır. Bu da bu kuruluşlara doğrudan saldırmanın çok daha zorlaşmış olduğu, ve saldırganların hedefin veri ve sistemlerine erişim için daha kolay giriş noktaları aramaya başladığı anlamına geliyor.

Bu zayıf noktalar, genellikle yazılım veya donanımları kendi iç sistemlerine ve süreçlerine derinlemesine entegre edilmiş olan, veya çalışanlarla ilgili veriler de dâhil olmak üzere son derece hassas verileri kendileri adına dış kaynaklara işleten geniş tedarikçi ve iş ortakları ağlarında bulunabilir. Bunlar dışarıdan alınan bordro, hukuk ve emeklilik hizmetlerinden üretkenlik ve işbirliği araçlarına, bulut sağlayıcılarından siber güvenlik hizmetlerine kadar görevlerde kullanılabilirler, ve bir bütün olarak bizim dijital tedarik zincirlerimizi oluştururlar. Bu dış kaynak ilişkileri karmaşık bir bağımlılıklar dizisi yaratmış ve saldırganların giderek daha fazla istismar ettiği zayıflıkları ortaya çıkarmıştır.

Ancak zincir üçüncü parti veya doğrudan tedarikçiler diye adlandırılan bu tedarikçilerle bitmiyor. Onlar da kendi hizmetlerinin sağlanması için sık sık yüzlerce diğer kuruluştan oluşan bir ağa dayanıyorlar ve liste uzayıp gidiyor. Örneğin, Rus tehdit oyuncusu CIOP, 2023 yılında MOVEit Transfer yazılımının zayıflıklarından yararlandığında, binlerce tanınmış mağdurun çoğu MOVEit Transfer’i kendileri kullanmamışlardı bile. Bu kuruluşlar, müşterilerinin verilerini işlemek için MOVEit Transfer'i kullanan İK ve bordro hizmetleri yazılımı Zellis gibi tedarikçiler, veya finans sanayisinde yaygın olarak kullanılan araştırma bilgi kaynağı PBI Araştırma Hizmetleri vasıtasıyla bu durumdan kötü etkilendiler (kendilerinin veya müşterilerinin verileri çalınmıştı).

Bu artan tehlikeler göz önüne alındığında NATO Müttefikleri ve bir bütün olarak İttifak, geniş çaplı tedarik zinciri saldırılarına karşı güvenliği iyice kuvvetlendirmek için ne yapabilir?

Tedarik zinciri riskleri konusundaki temel sorunlardan biri kuruluşların bireysel olarak siber güvenlik önlemlerine odaklanmalarıdır. Ancak anlamlı bir tedarik zinciri güvenliği kazanabilmek için güçlü bir işbirliğine dayanan yeni bir yaklaşıma ihtiyacımız var. Örneğin, Birleşik Krallık hükümeti zaten Devlet Siber Güvenlik Stratejisinde özetlenen [“Defend as One” (Tek Kişiymiş Gibi Savun)] (https://www.gov.uk/government/news/first-ever-government-cyber-security-strategy-to-step-up-britains-defence-and-resilience--2) yaklaşımı doğrultusunda ilk adımları atmıştır. Bu yaklaşım, “çok kuvvetli bir savunma gücü oluşturma konusunda siber güvenlik verileri, uzmanlığı ve yeteneklerinin Birleşik Krallık’ın tüm kamu sektörü kurumları arasında paylaşılmasının her bir kurumun ayrı ayrı çalışmasından daha değerli olduğunu” öngörüyor.

Bu doğru yolda atılmış bir adımdır, ve siber güvenliğin karşısındaki en büyük engelin silo yaklaşımı, “herkes kendi başının çaresine baksın” yaklaşımı olduğunu dolaylı olarak kabul eder. Ancak bunu aşmamız gerekir. Kuruluşlar isteseler de istemeseler de birbirleriyle bağlantılıdır ve siber saldırıları engelleme sorumluluğu ekosistemin bütününde paylaşılmalıdır Kimse bunu tek başına yapamaz. Düzenleyicilerin de önemli bir rolü vardır. Biz bir güven, tehditler ve cezalar kültüründen uzaklaşıp kritik ulusal altyapımızı destekleyen örgütlerin, ulusal güvenlik ajanslarının, özel sektördeki ortaklarımızın ve tüm kritik tedarikçilerin tedarik zinciri saldırılarına karşı bir araya gelip toplu olarak işbirliğiyle korudukları ve tüm ekosistemin dayanıklılığını arttırdıkları bir kültüre dönmeliyiz.

Bu, genel hatlarıyla Birleşik Krallık Siber Devlet Güvenlik Merkezi (CyberGSeC), Devlet Siber Koordinasyon Merkezi (GCCC) veya Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) liderliğindeki geniş kapsamlı güvenlik operasyon merkezlerini (SOC/GOM) örnek alarak şekillenen tedarik zinciri için sanal ulusal güvenlik operasyon merkezleri (GOM'lar) şeklinde olabilir. Bu tedarik zinciri GOM’ları içinde, büyük çaplı güvenlik operasyonları yapabilen, örneğin bu saldırıları araştırma, tespit etme ve karşılık verme konusunda uzmanlaşmış örgütler, tüm sistemi korumak için daha küçük ortakları ve tedarikçilerinin etrafında toplanmalı ve onları gelişmiş uzmanlıkları ve kaynakları ile desteklemelidir.

NATO genelinde daha geniş işbirliği bağlamında bu ulusal GOM’lar yeni NATO Entegre Siber Savunma Merkezi (NICC) ve onun Sanal Siber Olaylar Destek Yeteneği (VCISC) NATO’nun toplam siber savunma yeteneklerine çok değerli ilavelerdir ve İttifakın tüm üyelerinin tehditlerle ilgili güncel istihbarata, ve daha da önemlisi, olaylar sırasında operasyonel ve teknik desteğe hızlı ve eşit erişimlerini garanti edeceklerdir.

NATO Entegre Siber Savunma Merkezi (NICC) kısa süre önce Washington D.C.’de yapılan 2024 NATO Zirvesinde kabul edildi ve NATO’nun Belçika’daki SHAPE stratejik askerî karargâhında yer alacak. NICC’nin [görev alanı] (https://www.nato.int/cps/en/natohq/news_227647.htm), “NATO ve Müttefiklerin ağlarının korunması ve siber uzayın operasyonel alan olarak kullanımı” ve “askerî faaliyetleri desteklemek için gereken, özel sektöre ait kritik altyapılar da dâhil olmak üzere, NATO Askerî komutanlarını siber uzaydaki olası tehditler ve zayıflıklar konusunda bilgilendirmek” olacak. Böylece bu yeni Merkez askerî karar alma mekanizmasını daha iyi hale getirmek ve aynı zamanda “siber alanda durum bilincimizi arttırmak ve toplu direncimizi ve savunmamızı güçlendirmek” için tehditlerle konusunda bilgi sağlamak üzerinde odaklanacak.

Diğer yandan 2023 yılında Vilnius’taki NATO Zirvesinde kabul edilen Sanal Siber Olaylar Destek Yeteneği (VCISC), NATO Müttefiklerinin “önemli kötü niyetli siber faaliyetlere mukabele olarak zararı hafifletecek ulusal çalışmaları destekleyerek NATO üyelerinin olaylara mukabele yeteneklerini geliştirmek üzerinde yoğunlaşacak. Bu yeni yetenek bir kriz durumunda Müttefiklerin 5. Maddeyi devreye sokmadan destek talep etmelerine ve siber yardım almalarına, aynı zamanda da olaylar sırasında teknik uzmanlık, yardım ve bilgi paylaşımına hızla erişim sağlamalarına imkân verecektir.

NATO’nun bu yeni yetenekleri önerilen ulusal tedarik zinciri için önerilen ulusal GOM’ların uzmanlık ve kaynakları önemli ölçüde arttırabilir, ve aynı zamanda tedarik zinciri için geleceğe dönük olarak NATO çapında olası bir GOM’un temelini oluşturur.

NATO İttifakın ortak güvenliğini savunmak için nasıl “birimiz hepimiz, hepimiz birimiz için” yaklaşımını başarmışsa, İttifak ve üyelerinin ulusal güvenlik kuruluşları, düzenleyicileri, örgütleri ve bunların tedarikçileri de gerçek ve acil sorunları çözmek için dijital tedarik zincirlerimize karşı yapılan, giderek yaygınlaşan saldırılarındaki artışın yarattığı tehdide karşı bir araya gelmelidirler